微服务安全测试的关键——接口安全机制

最新推荐文章于 2022-06-08 16:40:35 发布
最新推荐文章于 2022-06-08 16:40:35 发布
阅读量431 收藏 5
点赞数 1
分类专栏: 测试开发 安全测试 微服务测试 文章标签: 安全 微服务 接口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liwenxiang629/article/details/109736086
版权

在微服务测试过程中,关于接口的功能和性能测试目前有很多解决方案,而对于接口的安全机制以及其测试方法并没有太多的资料介绍,在这里我会对相关内容进行介绍帮助大家解决接口安全测试的问题!

接口安全机制

主要包括以下几个方面:

认证:确保你的用户或客户端真的是他们自己。

授权:确保每个针对API的访问都是经过授权的。

审计:确保所有的操作都被记录,以便追溯和监控。

流控:防止用户请求淹没API。

加密:确保出入API的数据都是私密的。

下图会对我们理解接口的​安全机制有很大的帮助,最右面是我们提供的API,最左边是用户,在这二者之间需要我们加入安全机制。

接口安全测试点

加密贯穿始终:api中包含的数据必须是加密的。

测试点:对接口进行抓包处理,核心数据是必须加密的。需要跟研发人员确认加密算法不能是常用的加密算法。

流控:通过应用系统层面来防止黑客使用DDos攻击,导致应用系统长时间不能响应正常用户的访问请求。

测试点:使用压力测试工具(例如jmeter),某一时间段频繁调用接口,看是否符合流控方案,例如:

1.一秒钟同一个IP可以调用几次接口\请求多大带宽

2.调用失败后的响应信息

3.ip是否加入黑名单

认证:使用cookie、session、token、密钥等认证机制

测试点:

  • 接口中携带错误的cookie 、session、token、密钥
  • 接口中携带过期的cookie 、session、token、密钥

审计:通过对接口请求的日志记录,实现对非法请求的溯源

测试点:查看调用api后,调用信息是否被记录在日志中并且频繁调用是否在日志中记录准确。

授权:一般通过使用ACL访问控制(通过给不同用户访问权限实现)或使用rbac(基于用户、角色、权限关联关系实现)。

测试点:不同角色是否具备api的使用权限,例如普通用户不能使用管理员专用的API

原创不易,如果文章帮到了你,欢迎转发和点赞,让更多的朋友受益!

测试开发Kevin
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
微服务入门及zookeeper1
08-08
每个服务都围绕特定业务功能进行构建,并且能够通过轻量级机制——通常是HTTP RESTful API——相互通信。这种架构模式允许团队独立地开发、测试和部署服务,从而提高了开发效率和系统的可伸缩性。 面向服务的架构...
SpringCloud微服务架构笔记(四
03-18
微服务架构中,Spring Cloud Stream是一个关键组件,它为企业级开发提供了一种高效、灵活的消息处理机制。本文将深入探讨Spring Cloud Stream的功能、核心概念以及如何在实际项目中应用。 1. Spring Cloud Stream...
微服务架构系列主题:SpringCloud Gateway API接口安全设计(加密 、签名、安全
Larry的博客
06-08 908
SpringCloud Gateway API接口安全设计(加密 、签名、安全
Spring Cloud中如何保证各个微服务之间调用的安全
热门推荐
u010889990的专栏
12-02 3万+
一.背景微服务架构下,我们的系统根据业务被拆分成了多个职责单一的微服务。每个服务都有自己的一套API提供给别的服务调用,那么如何保证安全性呢?不是说你想调用就可以调用,一定要有认证机制,是我们内部服务发出的请求,才可以调用我们的接口。需要注意的是我们这边讲的是微服务之间调用的安全认证,不是统一的在API官网认证,需求不一样,API网关处的统一认证是和业务挂钩的,我们这边是为了防止接口被别人随便调用。
8张架构图告诉你应该如何优雅的设置RPC超时重试
石杉的架构笔记
04-19 475
文章来源:石杉的架构笔记原创文章目录业务系统架构图微服务项目技术难点 1:RPC 的超时机制微服务项目技术难点 2:RPC 的重试机制生产项目中 timeout 和 retry 一般设置成多少呢?今天给大家分享一知识点,是关于我们平时开发系统做 RPC 通信的时候,经常会设置超时和重试两个参数。关于这两个参数要是没有设置好的话,很可能会导致我们的系统被搞垮,但是可能很多人...
接口层面的安全措施
技术熊的博客小窝
01-05 1124
相关文章 从数据库层谈安全措施 文章目录相关文章前言一、请求数据被伪造二、请求数据或返回数据被截获三、无状态请求四、SQL注入1.引入库2.读入数据总结 前言 之前说了一下数据库层面的安全,接着说说服务端的安全。服务端的安全又更加的复杂,因为服务端一般是面向公网的,所有人都可以访问。同时服务端也是一个入口,把控着用户的身份和权限。所以说服务端的安全是至关重要的。 服务端从分层架构层面讲,分为访问层、服务层、数据层。服务端从访问的层面讲又可以分为两种,接口服务和页面服务。这两种涉及到的有想通的地方,也有不
构建微服务云原生应用——微服务测试设计和实践.zip
10-25
以下将详细介绍微服务测试设计与实践中的关键知识点。 1. 微服务架构:微服务是一种将大型复杂应用拆分为一组小的、独立的服务的架构模式,每个服务都运行在其自己的进程中,拥有自己的数据库,并通过API进行通信。...
python微服务案例-DJango-Flask-Vue
09-01
在本项目中,“python微服务案例-DJango-Flask-Vue”,我们看到了一个综合性的应用,它利用Python的两种主流Web框架——Django和Flask,以及前端的Vue.js来构建微服务架构。微服务架构是一种将单一应用程序分解为一...
微服务架构下,如何高效运维
01-27
微服务架构作为一种现代化的软件开发和部署方式,其核心价值在于3S——Scalability(可扩展性)、Separation of Concerns(关注点分离)和服务自治(Service Autonomy)。然而,这种架构也带来了运维上的挑战。 1. ...
玩转微服务接口幂等性与安全设计
黑马程序员官方博客
05-10 400
更多Java全套学习资源均在专栏,持续更新中↑↑戳进去领取~ 🍗MySQL的安装及登陆基本操作(附图)手把手带你安装 🍗MySQL基础:通过SQL对数据库进行CRUD 🍗MySQL基础:通过SQL对表、数据进行CRUD,万字实际案例手把手教程 🍗MySQL高级:掌握约束的使用 🍗MySQL高级:掌握表关系及建表原则 🍗MySQL高级:重点掌握多表查询操作 🍗MySQL高级:以实际案例掌握事务操作 🍬JDBC:从CRUD开始,理解JDBC中的各个对象作用,掌握Druid的使用 🍬Maven
微服务微应用的安全测试_不得不说的微服务测试
weixin_39610488的博客
12-20 118
微服务架构下,给我们测试带来了如下挑战:验证成本高,为了验证多个服务协作后的功能正确与否,需要为每个服务搭建基础设施(包括数据库、缓存等),并执行部署、配置等步骤,以确保服务能正确运行。结果不稳定, 分布式系统,服务之间的通信都是通过网络调用,然而在网络上传送,都会面临网络延时、超时、带宽等因素,容易导致不稳定的测试结果。反馈周期长, 相比单体应用而言,微服务架构下,可独立部署的单元多,因此集成...
安全基础--22--安全测试
武天旭的博客
10-04 3万+
一、安全漏洞评估 1、评估方式 自动化扫描:系统层漏洞大部分情况下使用自动化扫描 手工评估:耗时、不全面、技术要求高 2、评估流程 二、安全配置评估 1、安全配置评估分类 评估 说明 基础安全配置评估 在了解现状和基本需求的情况下,定义业务系统的基础安全配置要求,配置要求内容和具体产品相关 业务安全配置评估 辨析不同业务系统的安全需求,在已形成的基础安全配置评估上...
微服务架构—幂等机制
weixin_34174322的博客
04-06 215
为什么80%的码农都做不了架构师?>>> ...
微服务项目 -- day06 密码加密与微服务鉴权JWT
wingzhezhe的博客
07-15 1772
一、BCript加密二、常见的认证机制三、基于JWT的Token认证机制实现四、Java的JJWT实现JWT五、项目中加入鉴权功能
微服务中的重试一
qq_25944123的博客
03-15 471
文章目录分析重试使用风险重试实现spring-retryGuava Retry 微服务之间的调用会因为一方的不稳定或其他原因,导致失败,从而导致系统也陷入不稳定。因此有了重试这个机制。 参考文章: 重试的实现 优雅的重试 分析重试 使用 重试次数:具体业务具体分析,一般三次。 重试间隔:要根据被调用的系统平均恢复时间去正确估量,通常而言这个平均恢复时间很难统计到,所以一般的经验值是3至5分钟。 重试完依旧失败:错误报警机制;手动重试开关。 风险 重试能很好的避开网络抖动或其他关联应用暂时down机维护带来
微服务测试
暮水的专栏
08-04 221
微服务测试微服务的定义微服务的优缺点微服务的测试策略 微服务的定义 相比较传统服务,微服务是将一个单体应用拆分成多个模块,每一个服务都只负责一小块儿具体的业务能力,可以独立的部署到环境中去,服务的边界清晰。相互间通过轻量级的接口调用或者消息列队进行通信,为用户提供最终价值。 微服务的优缺点 优点: 日常研发阶段: 可以构建持续集成的环境,因为体量小,所以变异速度快 发布方面:如果某一个微服务有问题,那么不会影响到整个应用,增加了系统的可靠性 例如扩容只需要针对某个服务扩容,可以节约资源 微服务可以使用不同
微服务之密码加密与微服务鉴权JWT
zhibinLi的博客
07-30 1203
学习目标: 能够使用BCrypt密码加密算法实现注册与登陆功能 能够说出常见的认证机制 能够说出JWT的组成部分,以及使用JWT的优点 能够使用JJWT 创建和解析token 能够使用JJWT完成微服务鉴权 1 BCrypt密码加密 1.1 准备工作 任何应用考虑到安全,绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。 有很多标准的算法比如SHA或者MD5...
微服务架构模式语言——藏经阁解读
- **安全控制**:如何实现服务间的安全通信,包括认证、授权和加密。 4. **应用微服务架构**: - **服务拆分原则**:根据业务能力、技术边界或团队结构进行服务划分。 - **边界定义**:明确服务的职责范围,避免...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

测试开发Kevin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值